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适用 于 Kubernetes 的 红 帆 高 级 集群 
安全 防护 


借助 业内 唯一 的 Kubernetes 原生 容 右 安全 防护 ， 更 好 地 保护 Kubernetes 和 云 原 生 应 用 的 安全 
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想 要 保护 云 原生 应 用 ， 我 们 需要 对 安全 防护 方法 做 出 重大 改变 : 我 们 必须 在 应 用 开发 生命 周期 的 早期 
应 用 控制 ， 利 用 基础 以 构 目 身 应 用 控制 ， 并 跟 上 越 来 越 紧密 的 友 布 时 间 表 。 


适用 于 Kubernetes 的 红 帆 9 高 级 集群 安全 防护 由 StackRox 技术 提供 支持 ， 并 在 构建 、 部 署 和 运行 时 
为 重要 应 用 提供 安全 防护 。 软 件 将 部 署 到 基础 架构 ， 并 集成 DevOps 工具 和 工作 流 ， 提 供 更 好 的 安全 
性 和 合 规 性 。 该 策略 引擎 包括 数 特 个 内 置 控 制 功 能 ， 可 强制 执行 DevOps 和 安全 防护 最 佳 实 践 、 行 业 
标准 ， 例 如 CIS 基准 和 美国 国家 标准 与 技术 研究 院 (NIST) 指南 、 容 器 和 Kubernetes 的 配置 管理 ， 以 
及 运行 时 安全 。 


适用 于 Kubernetes 的 红 帽 高 级 集群 安全 防护 为 容器 安全 防护 提供 了 Kubernetes 原生 架构 ， 并 使 
DevOps 和 InfoSec 团队 能 够 实施 防护 。 

功能 和 优势 

Kubernetes 原生 安全 防护 。 

增强 保护 。 

消除 盲点 ， 并 为 工作 人 员 提 供 对 关键 漏洞 和 威胁 途径 的 洞 见 。 

缩短 时 间 和 降低 成 本 。 


利用 Kubernetes 提供 的 丰富 情境 ， 减 少 实施 安全 防护 所 需 的 时 间 和 精力 ， 并 简化 安全 分 析 、 调 
和 修复 程序 。 


改进 可 扩展 性 和 可 移植 性 。 
提供 Kubernetes 原生 可 扩展 性 和 复原 能 力 ， 吕 免责 外 安全 控制 导致 的 运 维 冲突 和 复杂 性 。 
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优势 详解 
领域 优势 
可 视 性 > 提供 部 署 的 完整 视图 ， 包 括 镜像 、 容 器 集 和 配置 
》 发 现 并 显示 在 所 有 集群 跨度 的 命名 空间 、 部 署 和 容器 集中 的 网 络 流量 
> 收集 每 个 容器 中 的 关键 系统 级 事件 
漏洞 管理 > 根据 特定 的 语言 、 软 件 包 、 镜 像 层 ， 扫 描 镜像 中 的 已 知 漏洞 
> 将 漏洞 与 运行 中 的 部 署 关联 ， 而 不 仅仅 是 镜像 
> 根据 漏洞 细节 强制 执行 策略 : 在 构建 时 使 用 持续 集成 /连续 交付 (CI/CD) 
集成 ， 在 部 署 时 使 用 动态 许可 控制 ， 在 运行 时 使 用 原生 Kubernetes 控制 
合 规 》 评估 CIS 基准 、 支 付 卡 行业 (PCI)、 健 康 保险 携带 与 责任 法 案 (HIPAA) 以 
及 NIST SP 800-190 的 数 百 种 控制 的 合 规 性 
> 提供 每 个 标准 控制 的 整体 合 规 性 仪表 板 概览 ， 并 支持 导出 证 据 ， 满 足 审计 
员 的 需求 
> 提供 合 规 详细 信息 视图 ， 确 定 不 符合 特定 标准 和 控制 的 集群 、 节 点 或 命名 
空间 
网 络 分 段 》 可 视 化 命名 空间 、 部 署 和 容器 集 之 间 的 允许 流量 与 活动 流量 ， 包 括 外 部 
风险 
> 在 实施 前 模拟 网 络 策略 变化 ， 以 最 大 限度 减少 对 环境 的 运 维 风 险 
》 基线 网 络 活动 ， 建 议 全 新 的 Kubernetes 网 络 策略 ， 消 除 不 必要 的 网 络 
连接 
》 利用 Kubernetes 内 置 的 网 络 执行 功能 ， 确 保 一 致 、 可 移植 和 可 扩展 的 
分 段 
风险 预测 > 根据 安全 风险 对 正在 运行 的 部 署 排序 ， 充 分 利用 Kubernetes 数据 ， 利 用 
配置 或 部 署 细节 以 及 运行 时 活动 对 漏洞 进行 优先 排序 
> 跟踪 Kubernetes 部 署 安 全 态势 的 改进 情况 ， 验 证 安全 团队 操作 的 影响 
配置 管理 ， 提供 预 建 的 DevOps 和 安全 策略 ， 识 别 与 网 络 风险 、 特 权 容 器 、 以 根 用 
户 身 份 运行 的 进程 相关 的 配置 违规 ， 并 确保 符合 行业 标准 
》 分 析 Kubernetes 基于 角色 的 访问 控制 (RBAC) 设置 ， 确 定 用 户 或 服务 帐 
户 的 特权 和 错误 配置 
> 跟踪 机 密 信息 ， 并 检测 哪些 部 署 使 用 机 密 信 息 限 制 访问 
》 强制 执行 配置 策略 ， 在 构建 时 使 用 Cl/CD 集成 ， 并 在 部 署 时 使 用 动态 许 
可 控制 
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产品 规格 说 明 


口 


领域 优势 
运行 时 检测 和 响应 》 监控 容器 内 的 系统 级 事件 ， 检 测 显示 威胁 的 异常 活动 ， 并 使 用 


Kubernetes 原生 控制 进行 自动 响应 
基线 容器 中 的 流程 活动 ， 自 动 将 流程 列 入 白 名 单 ， 无 需 手动 加 入 白 名 单 
使 用 预 构 建 的 策略 ， 检 测 加 密 开采 、 权 限 升 级 和 各 种 漏洞 


， 使 用 外 部 Berkeley Packet Finder (eBPF) 或 每 个 主要 Linux 发 行 版 的 内 
核 模 块 ， 实 现 灵活 的 系统 级 数据 收集 


集成 > 提供 丰富 的 应 用 程序 接口 (API) 和 预 建 插件 ， 集 成 DevOps 系统 ， 包 括 
CI/CD 工 具 、 镜 像 扫描 程序 、 注 册 表 、 容 器 运行 时 间 、 安 全 集成 事件 管理 
(SIEM) 解决 方案 和 通知 工具 


可 
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关于 红 帽 


红 帽 是 世界 领先 的 企业 开源 软件 解决 方案 供应 商 ， 依 托 强大 的 社区 支持 ， 为 客户 提供 稳定 可 靠 而 且 高 性 能 
的 Linux、 混 合 云 、 容 器 和 Kubernetes 技术 。 红 帽 帮 助 客户 集成 现 有 和 新 的 IT 应 用 ， 开 发 云 原生 应 用 ， 在 
业界 领先 的 操作 系统 上 开展 标准 化 作业 ， 并 实现 复杂 环境 的 自动 化 、 安 全 防护 和 管理 。 凭 借 一 流 的 支持 、 坪 
训 和 咨询 服务 ， 红 帽 成 为 《财富 》500 强 公 司 备 受 信赖 的 顾问 。 作 为 众多 云 提 供 商 、 系 统 集成 商 、 应 用 供应 
商 、 客 户 和 开源 社区 的 战略 合作 伙伴 ， 红 帽 致力 于 帮助 企业 做 好 准备 ， 拥 抱 数 字 化 未 来 。 
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